Prototyp Interoperable Servicekonten

&
&
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2
vom 05.10.2016
Projektbezeichnung
Prototyp Interoperable Servicekonten
Dokumentname
Beschreibung der SAML-Metadaten
Projektleiter
Herr Kirschenbauer (StMFLH)
Version
0.2
Erstellt am
05.10.2016
Zuletzt geändert
Anton Kronseder, 05.10.2016
Bearbeitungszustand
In Bearbeitung
Dokumentablage
https://www.interoperable-servicekonten.de/p/x/gABf
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
2
Änderungsverzeichnis
Nr.
1
Datum
01.09.2016
V
Kapitel
0.1 Alle
Beschreibung
Initiale Erstellung
Autor
Anton Kronseder, Nicht
Robert Reiner
2
05.10.2016
0.2 Alle



Auch im Titel des Dokuments
(SAML-Metadaten)
Klarstellung von Redirect und
POST-Binding
Klarstellung Web-Browser
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
Zustand
veröffentlicht
Anton Kronseder, In Bearbeitung
Robert Reiner
3
Beschreibung der SAML-Metadaten für die Konfiguration der an der Föderation
teilnehmenden SAML-Entities (IdPs und SPs).
Identity-Provider (IdP) und Service-Provider (SP), als Teile eines Servicekontos,
kommunizieren innerhalb der Föderation entsprechend dem SAML-Standard. Der SAMLStandard ermöglicht Konfigurationen für unterschiedliche Szenarien. Für die
Interoperabilität von Servicekonten ist es daher notwendig, die Optionen so einzuschränken,
dass die Anbindungen von Servicekonten möglichst einfach und standard-konform erfolgen
kann.
In allen Anwendungsfällen verwendet der Nutzer für die Authentifizierung einen WebBrowser.
Vorsicht!
SAML-Experten suchen i.d.R. zunächst die Metadaten, um ihren IdP an die Infrastruktur
anzubinden. Für die Anbindung eines interoperablen Servicekontos ist dies aber nicht genug!
1. Ein Servicekonto ist ein Dipol. Daher müssen sowohl Metadaten für den IdP-, als auch den
SP-Anteil des Servicekontos eingespielt werden.
2. Neben den Metadaten sind weitere Punkte zu beachten, die zum Teil in der Phase 2
spezifiziert werden. Siehe dazu Beschreibung der Schnittstellen.
3. Die Metadaten werden direkt über eine Web-Schnittstelle (oder über REST-Dienste)
eingespielt. Siehe dazu Einspielen von Metadaten.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
4
In diesem Dokument werden die Metadaten für die IdP- und SP-Konfiguration beschrieben.
Die in diesem Dokument beinhalteten Spezifikationen und Definitionen stellen eine
Diskussionsgrundlage für die Teilnehmer am fachlichen Prototypen und dem BSI dar.
Der Hinweis, dass jede Aussage oder Forderung ungeachtet der Formulierung stets nur ein
Vorschlag ist erfolgt aus Gründen der Lesbarkeit nur jeweils zu Beginn eines Tour-Dokuments.
In Teilen der Dokumentation, beispielsweise welche Attribute in der Föderation übermittelt
werden und wie diese aufgebaut sein sollen, werden lediglich Vorschläge unterbreitet, da es
sich hier um nicht technische, sondern um fachliche Spezifikationen handelt. Die fachlichen
Spezifikationen sollen von den Teilnehmern am fachlichen Prototypen erarbeitet und mit dem
BSI abgestimmt werden.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
5
Inhaltsverzeichnis
1
Metadaten des Identity-Providers .............................................................7
1.1
Metadaten-XML-Dokument für IdP .................................................................................. 7
1.2
Entity-ID ............................................................................................................................ 8
1.3
WantAuthnRequestsSigned .............................................................................................. 9
1.4
Authentifizierungsgrade ................................................................................................. 10
1.5
KeyDescriptor.................................................................................................................. 10
1.6
NameIDFormat: transient ............................................................................................... 12
1.7
SingleSignOnService ........................................................................................................ 13
1.8
Organisation.................................................................................................................... 14
2
Metadaten des Service-Providers ............................................................ 15
2.1
Metadaten-XML-Dokument für SP ................................................................................. 15
2.2
Entity-ID .......................................................................................................................... 16
2.3
SPSSODescriptor ............................................................................................................. 17
2.4
KeyDescriptor.................................................................................................................. 17
2.5
NameIDFormat: transient ............................................................................................... 19
2.6
AssertionConsumerService ............................................................................................. 20
2.7
Organisation.................................................................................................................... 21
3
Literaturverweise .................................................................................... 22
4
Glossar .................................................................................................... 23
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
6
1 Metadaten des Identity-Providers
1.1 Metadaten-XML-Dokument für IdP
Das Metadatendokument muss in der Zeichenkodierung UTF-8 übermittelt werden. Andere
Zeichenkodierungen werden nicht unterstützt.
Codeblock 1 Entity-Descriptor
<?xml version="1.0"?>
<EntityDescriptor
entityID="{ENTITY ID hier einfügen}"
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:attr="urn:oasis:names:tc:SAML:metadata:attribute"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
<Extensions>
<attr:EntityAttributes>
<saml:Attribute
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
Name="urn:oasis:names:tc:SAML:attribute:assurance-certification">
<saml:AttributeValue>
https://interoperable-servicekonten.de/ref/assurance/normal
</saml:AttributeValue>
<saml:AttributeValue>
https://interoperable-servicekonten.de/ref/assurance/substantiell
</saml:AttributeValue>
<saml:AttributeValue>
https://interoperable-servicekonten.de/ref/assurance/hoch
</saml:AttributeValue>
</saml:Attribute>
</attr:EntityAttributes>
</Extensions>
<IDPSSODescriptor
WantAuthnRequestsSigned="true"
protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<KeyDescriptor use="encryption">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc">
<xenc:KeySize>256</xenc:KeySize>
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
7
</EncryptionMethod>
</KeyDescriptor>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
<SingleSignOnService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="{URL zum IdP des Servicekontos mit HTTP-Redirect-Endpunkt hier
einfügen}" />
<SingleSignOnService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="{URL zum IdP des Servicekontos mit HTTP-POST-Endpunkt hier einfügen}"
/>
</IDPSSODescriptor>
<Organization>
<OrganizationName xml:lang="de">{Interner Name der Organisation}</OrganizationName>
<OrganizationDisplayName xml:lang="de">{Anzeigename der
Organisation}</OrganizationDisplayName>
<OrganizationURL xml:lang="de">{URL zur Homepage der
Organisation}</OrganizationURL>
</Organization>
</EntityDescriptor>
1.2 Entity-ID
Die für Entities von den Teilnehmern vergebenen Identifikatoren sollen sich nicht ändern.
Aus diesem Grund werden die folgenden Anforderungen an die Konstruktion von Entity-IDs
gestellt.
1. Die ID ist ein URL aus dem Namensraum des Teilnehmers
2. Die Rolle des Entities (IdP oder SP) soll durch die Verwendung von idp bzw. sp aus dem
URL erkennbar sein
3. Der URL muss den Standardport für HTTPS verwenden und darf diesen nicht explizit
angeben
4. Der URL darf keine Query-String (?) enthalten
5. Der URL darf keinen Fragment-Identifikator (#) enthalten
6. Der URL darf nicht mit einem Slash (/) enden
7. Der URL darf keine produktspezifischen Namensbestandteile enthalten
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
8
Beispiele für gültige Entity-IDs

https://servicekonto.verwaltungsportal1.de/idp

https://servicekonto.verwaltungsportal1.de/sp
Der URL muss nicht auf eine existierende Ressource verweisen. Verweist der URL auf eine
Ressource, ist dies die Metadatendatei des Entities.
1.3 WantAuthnRequestsSigned
Optional attribute that indicates a requirement for the <samlp:AuthnRequest> messages
received by this identity provider to be signed.OASIS. Metadata for the OASIS Security
Assertion Markup Language (SAML) V2.0. (15.03.2005)
Anfragen können durch den Anfragenden signiert werden, um dessen Authentizität durch
den Angefragten sicherstellen zu können.
Codeblock 2 Konfiguration des Attributs WantAuthnRequestsSigned
<EntityDescriptor ...>
<IDPSSODescriptor
WantAuthnRequestsSigned="true"
...>
... snip ...
</IDPSSODescriptor>
</EntityDescriptor>
Um die Möglichkeit der Prüfung der Gültigkeit der Anfrage sicherzustellen, fordern wir, dass
die Anfragen durch den Anfragenden signiert werden. Um Fehler in der Konfiguration
innerhalb der Föderation schnell zu erkennen, ist gefordert, dass Angefragte nicht signierte
Anfragen ablehnen.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
9
1.4 Authentifizierungsgrade
Codeblock 3 Bereitstellung der Zertifikate
<?xml version="1.0" ?>
<EntityDescriptor ...>
<Extensions>
<attr:EntityAttributes>
<saml:Attribute
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
Name="urn:oasis:names:tc:SAML:attribute:assurance-certification">
<saml:AttributeValue>
https://interoperable-servicekonten.de/ref/assurance/normal
</saml:AttributeValue>
<saml:AttributeValue>
https://interoperable-servicekonten.de/ref/assurance/substantiell
</saml:AttributeValue>
<saml:AttributeValue>
https://interoperable-servicekonten.de/ref/assurance/hoch
</saml:AttributeValue>
</saml:Attribute>
</attr:EntityAttributes>
</Extensions>
...
</EntityDescriptor>
Nach SAML V2.0 Identity Assurance Profiles Version 1.0 werden die durch die Föderation
definierten Authentifizierungsgrade im Entity-Descriptor spezifiziert. Alle Identity-Provider
müssen alle Authentifizierungsgrade unterstützen.
Detaillierte Information sind unter Authentifizierungsgrade abrufbar.
1.5 KeyDescriptor
Optional sequence of elements that provides information about the cryptographic keys that
the entity uses when acting in this role.
OASIS. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0.
(15.03.2005)
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
10
Codeblock 4 Bereitstellung der Zertifikate
<?xml version="1.0" ?>
<EntityDescriptor ...>
...
<IDPSSODescriptor ...>
<KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<KeyDescriptor use="encryption">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc">
<xenc:KeySize>256</xenc:KeySize>
</EncryptionMethod>
</KeyDescriptor>
...
</IDPSSODescriptor>
</EntityDescriptor>
Die Verschlüsselungsmethode (EncryptionMethod) AES wurde für den Prototypen mit einer
Schlüssellänge von 256 Bits gesetzt.
Die Encryption-Methode muss von den Teilnehmern und dem BSI entsprechend ihrer
Anforderungen festgelegt werden. Die für den Prototypen verwendete Methode ist nicht als
Empfehlung zu verstehen.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
11
1.6 NameIDFormat: transient
Zero or more elements of type anyURI that enumerate the name identifier formats supported
by this system entity acting in this role. See Section 8.3 of [SAMLCore] for some possible values
for this element.
OASIS. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0.
(15.03.2005)
The various role descriptors MAY contain <md:NameIDFormat>, <md:AttributeProfile>,
and <saml:Attribute> elements (as applicable) to indicate the general ability to support
particular name identifier formats, attribute profiles, or specific attributes and values. The
ability to support any such features during a given request is dependent on policy and the
discretion of the authority.
OASIS. Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0. (15.03.2005)
Indicates that the content of the element is an identifier with transient semantics and SHOULD
be treated as an opaque and temporary value by the relying party. Transient identifier values
MUST be generated in accordance with the rules for SAML identifiers (see Section 1.3.4), and
MUST NOT exceed a length of 256 characters.
The NameQualifier and SPNameQualifier attributes MAY be used to signify that the identifier
represents a transient and temporary pair-wise identifier. In such a case, they MAY be omitted
in accordance with the rules specified in Section 8.3.7.
OASIS. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML)
V2.0. (15.03.2005)
Codeblock 5 Definition der unterstützten Formate
<?xml version="1.0"?>
<EntityDescriptor ...>
<IDPSSODescriptor ...>
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
12
...
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
...
</IDPSSODescriptor>
</EntityDescriptor>
Das Name-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient muss
unterstützt und in den Metadaten angegeben werden.
Voraussichtlich werden weitere Namensformate in Erweiterungen der Schnittstelle gefordert
werden.
1.7 SingleSignOnService
Codeblock 6 Definition der unterstützten Formate
<?xml version="1.0"?>
<EntityDescriptor ...>
<IDPSSODescriptor ...>
...
<SingleSignOnService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
Location="{HTTPS-URL zum IdP des Servicekontos mit HTTP-Redirect-Endpunkt hier
einfügen}" />
<SingleSignOnService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="{HTTPS-URL zum IdP des Servicekontos mit HTTP-POST-Endpunkt hier
einfügen}" />
...
</IDPSSODescriptor>
</EntityDescriptor>
Im Zuge der Interoperabilität werden zwei Bindings unterstützt.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
13
1.7.1
HTTP-Redirect-Binding
Das HTTP-Redirect-Binding ist ein Binding, das von vielen Clients einfach unterstützt werden
kann. Aus diesem Grund wird gefordert, dass IdPs dieses Binding unterstützen.
Für die Location ist verpflichtend ein valider HTTPS-URL anzugeben.
1.7.2
HTTP-POST-Binding
Im Gegensatz zum HTTP-POST-Binding erfolgt das HTTP-Redirect-Binding über GET. Alle
Parameter müssen beim Redirect-Binding daher im Aufruf-URL kodiert werden. Falls die
Menge an Parametern die Länge eines gültigen oder verarbeitbaren URLs überschreitet,
muss ein Binding verwendet werden, das HTTP-POST unterstützt.
Um diese Anwendungsfälle abwickeln zu können, müssen IdPs, die an der Föderation
teilnehmen, das HTTP-POST-Binding unterstützen.
Für die Location ist verpflichtend ein valider HTTPS-URL anzugeben.
1.8 Organisation
Informationen zu dem Betreiber des Servicekontos können in den Entities-Deskriptor
eingefügt werden.
<Organization>
<OrganizationName xml:lang="de">{Interner Name der Organisation}</OrganizationName>
<OrganizationDisplayName xml:lang="de">{Anzeigename der
Organisation}</OrganizationDisplayName>
<OrganizationURL xml:lang="de">{URL zur Homepage der
Organisation}</OrganizationURL>
</Organization>
Die Informationen werden über den Servicekontodienst den Föderationsmitgliedern
bereitgestellt. Auf diese Weise können Föderationsmitglieder ihren Nutzern die Liste der
verfügbaren Servicekonten anzeigen.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
14
2 Metadaten des Service-Providers
2.1 Metadaten-XML-Dokument für SP
2.1.1
Beschreibung
Das Metadatendokument muss in der Zeichenkodierung UTF-8 übermittelt werden. Andere
Zeichenkodierungen werden nicht unterstützt.
Codeblock 7 Entity-Descriptor
<?xml version="1.0"?>
<EntityDescriptor
entityID="${ENTITY_ID}"
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
<SPSSODescriptor
AuthnRequestsSigned="true"
WantAssertionsSigned="true"
protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
<ds:X509Certificate>{Root-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<KeyDescriptor use="encryption">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
<ds:X509Certificate>{Root-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc">
<xenc:KeySize>256</xenc:KeySize>
</EncryptionMethod>
</KeyDescriptor>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
15
<AssertionConsumerService
index="0"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="{HTTPS-URL zum Assertion-Consumer des Servicekontos mit HTTP-POSTEndpunkt hier einfügen}" />
</SPSSODescriptor>
<Organization>
<OrganizationName xml:lang="de">{Interner Name der Organisation}</OrganizationName>
<OrganizationDisplayName xml:lang="de">{Anzeigename der
Organisation}</OrganizationDisplayName>
<OrganizationURL xml:lang="de">{URL zur Homepage der
Organisation}</OrganizationURL>
</Organization>
</EntityDescriptor>
2.2 Entity-ID
Die für Entities von den Teilnehmern vergebenen Identifikatoren sollen sich nicht ändern.
Aus diesem Grund werden die folgenden Anforderungen an die Konstruktion von Entity-IDs
gestellt.
1. Die ID ist ein URL aus dem Namensraum des Teilnehmers
2. Die Rolle des Entities (IdP oder SP) soll durch die Verwendung von idp bzw. sp aus dem
URL erkennbar sein
3. Der URL muss den Standardport für HTTPS verwenden und darf diesen nicht explizit
angeben
4. Der URL darf keine Query-String (?) enthalten
5. Der URL darf keinen Fragment-Identifikator (#) enthalten
6. Der URL darf nicht mit einem Slash (/) enden
7. Der URL darf keine produktspezifischen Namensbestandteile enthalten
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
16
Beispiele für gültige Entity-IDs

https://servicekonto.verwaltungsportal1.de/idp

https://servicekonto.verwaltungsportal1.de/sp
Der URL muss nicht auf eine existierende Ressource verweisen. Verweist der URL auf eine
Ressource, ist dies die Metadatendatei des Entities.
2.3 SPSSODescriptor
<?xml version="1.0"?>
<EntityDescriptor ...>
<SPSSODescriptor
AuthnRequestsSigned="true"
WantAssertionsSigned="true"
errorURL="{URL}"
protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
...
</SPSSODescriptor>
...
</EntityDescriptor>
Es wird gefordert, dass die Anfragen und zurückgelieferten Antworten von den
Kommunikationsteilnehmern signiert werden. Auf diese Weise kann sichergestellt werden,
dass die Authentizität der Nachrichten gewährleistet ist.
Der errorURL verweist auf eine Seite des Betreibers des SAML-Entities mit weiterführenden
Informationen zu den Verantwortlichen im Fall eines Kommunikationsproblems.
2.4 KeyDescriptor
Optional sequence of elements that provides information about the cryptographic keys that
the entity uses when acting in this role.
OASIS. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
17
(15.03.2005)
Codeblock 8 Bereitstellung der Zertifikate
<?xml version="1.0"?>
<EntityDescriptor ...>
<SPSSODescriptor ...>
<KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
<ds:X509Certificate>{Root-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<KeyDescriptor use="encryption">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>{Server-Zertifikat hier einfügen}</ds:X509Certificate>
<ds:X509Certificate>{Root-Zertifikat hier einfügen}</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc">
<xenc:KeySize>256</xenc:KeySize>
</EncryptionMethod>
</KeyDescriptor>
...
</SPSSODescriptor>
</EntityDescriptor>
Die Verschlüsselungsmethode (EncryptionMethod) AES wurde für den Prototypen mit einer
Schlüssellänge von 256 Bits gesetzt.
Die Encryption-Methode muss von den Teilnehmern und dem BSI entsprechend ihrer
Anforderungen festgelegt werden. Die für den Prototypen verwendete Methode ist nicht als
Empfehlung zu verstehen.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
18
2.5 NameIDFormat: transient
Zero or more elements of type anyURI that enumerate the name identifier formats supported
by this system entity acting in this role. See Section 8.3 of [SAMLCore] for some possible values
for this element.
OASIS. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0.
(15.03.2005)
The various role descriptors MAY contain <md:NameIDFormat>, <md:AttributeProfile>,
and <saml:Attribute> elements (as applicable) to indicate the general ability to support
particular name identifier formats, attribute profiles, or specific attributes and values. The
ability to support any such features during a given request is dependent on policy and the
discretion of the authority.
OASIS. Profiles for the OASIS Security Assertion Markup Language (SAML) V2.0. (15.03.2005)
Indicates that the content of the element is an identifier with transient semantics and SHOULD
be treated as an opaque and temporary value by the relying party. Transient identifier values
MUST be generated in accordance with the rules for SAML identifiers (see Section 1.3.4), and
MUST NOT exceed a length of 256 characters.
The NameQualifier and SPNameQualifier attributes MAY be used to signify that the identifier
represents a transient and temporary pair-wise identifier. In such a case, they MAY be omitted
in accordance with the rules specified in Section 8.3.7.
OASIS. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML)
V2.0. (15.03.2005)
Codeblock 9 Definition der unterstützten Formate
<?xml version="1.0"?>
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
19
<EntityDescriptor ...>
<SPSSODescriptor ...>
...
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
...
</SPSSODescriptor>
</EntityDescriptor>
Das Name-Format urn:oasis:names:tc:SAML:2.0:nameid-format:transient muss
unterstützt und in den Metadaten angegeben werden.
Voraussichtlich werden weitere Namensformate in zukünftigen Erweiterungen der
Schnittstelle gefordert werden.
2.6 AssertionConsumerService
One or more elements that describe indexed endpoints that support the profiles of the
Authentication Request protocol defined in [SAMLProf]. All service providers support at least
one such endpoint, by definition.
OASIS. Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0.
(15.03.2005)
The indexed endpoint element <md:AssertionConsumerService> is used to describe
supported bindings and location(s) to which an identity provider may send responses to a
service provider using this profile. The index attribute is used to distinguish the possible
endpoints that may be specified by reference in the <AuthnRequest> message. The
isDefault attribute is used to specify the endpoint to use if not specified in a request.
OASIS. Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML)
V2.0. (15.03.2005)
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
20
<?xml version="1.0"?>
<EntityDescriptor ...>
<SPSSODescriptor ...>
...
<AssertionConsumerService
index="0"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="{HTTPS-URL zum Assertion-Consumer des Servicekontos mit HTTP-POSTEndpunkt hier einfügen}" />
...
</SPSSODescriptor>
</EntityDescriptor>
Dadurch dass wir für den IdP das HTTP-Redirect-Binding und das HTTP-POST-Binding
verwenden, definieren wir für den SP das HTTP-POST-Binding für den Empfang der
Antworten.
Für die Location ist verpflichtend ein valider HTTPS-URL anzugeben.
2.7 Organisation
Informationen zu dem Betreiber des Servicekontos können in den Entities-Deskriptor
eingefügt werden.
<Organization>
<OrganizationName xml:lang="de">{Interner Name der Organisation}</OrganizationName>
<OrganizationDisplayName xml:lang="de">{Anzeigename der
Organisation}</OrganizationDisplayName>
<OrganizationURL xml:lang="de">{URL zur Homepage der
Organisation}</OrganizationURL>
</Organization>
Die Informationen werden über den Servicekontodienst den Föderationsmitgliedern
bereitgestellt. Auf diese Weise können Föderationsmitglieder ihren Nutzern die Liste der
verfügbaren Servicekonten anzeigen.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
21
3 Literaturverweise
Weitere Informationen zum Thema Interoperable Servicekonten finden Sie in den folgenden
Dokumenten.
Name
Kurzbeschreibung
Version
Tour für neue
Eine geführte Tour durch die Dokumentation für neue 0.1
Föderationsmitglieder
Föderationsmitglieder.
Überblick über den
Kurzer Überblick über die umgesetzte Lösung zur
Lösungsvorschlag
Diskussion.
Überblick über die
Liste der Anwendungsfälle, die für die Spezifikation
Anwendungsfälle
des Lösungsvorschlags betrachtet werden.
Beschreibung der Schnittstellen
Dokumentation der Kommunikationsschnittstellen
0.2
0.2
0.2
außerhalb der SAML-Metadaten.
API-Dokumentation
Informationen zur Nutzung des APIs.
0.1
Kurzanleitung für
Liste von Kurzanleitungen, die Aufgaben der
0.1
Föderationsteilnehmer
Föderationsteilnehmer beschreiben.
Glossar
Beschreibung der zentralen Begriffe im Kontext von
0.1
interoperablen Servicekonten der Föderation.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
22
4 Glossar
Die in diesem Dokument verwendeten Begriffe aus der Domäne Interoperable Servicekonten
werden in einem separaten Glossar erklärt. In diesem Glossar werden alle Begriffe der
Domäne aufgelistet.
Prototyp Interoperable Servicekonten
Beschreibung der SAML-Metadaten V 0.2 vom 05.10.2016
23

Download Report